![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Heute auch wieder so einen Anruf erhalten. Da die Masche schon ziemlich kriminell ist und für einen "Nicht-ITler" schwierig zu identifizieren, habe ich es direkt an die Polizei weitergeleitet. Es handelt sich dabei um s.g. Spamming Anrufe mit dem Ziel den Rechner mit einem Virus zu verseuchen und danach Geld für die Beseitigung zu verlangen.
Der Hinweis dies über die Bundesnetzagentur zu verfolgen ist nicht zielführend - es ist kein Cold Call sondern ein Spamming Call, Zitat der Agentur:
"Sie wurden z. B. von einem Trickbetrüger angerufen, der mit diesem Anruf das Ziel verfolgte an Ihre sensiblen Daten wie Kennwörter oder Bankdaten zu gelangen. Solche Anrufwellen sind unter dem Stichwort „Phishing“ bekannt und können von der Bundesnetzagentur nicht verfolgt werden."
Bitte wenden Sie sich an die zuständigen Strafverfolgungsbehörden"
Es handelt sich hier um einen Straftatbestand! Daher habe ich mich auch an die nächste Polizeidiensstelle gewendet.
Hier das Polizeiprotokoll - in der Hoffnung, das andere nicht darauf reinfallen (private Punkte sind aus dem Protokoll gelöscht):
.... Anruf von der Rufnummer 0381101749 erhalten. Am Telefon war ein männlicher Anrufer welcher sich als Mitarbeiter eines „Support Department Microsoft“ ausgegeben hat. Der Anrufer sprach gebrochen deutsch mit einem indischen Akzent. Während des Gespräches waren Hintergrundstimmen wie in einem typischen Grossraumbüro zu hören.
Der Anrufer teilte mir mit, daß mein Computer beständig über das Internet Kontakt zu Microsoft aufnehmen würde und eindeutig kompromittiert sei („your computer has been hacked“). Auf meine Frage woher man meine private Rufnummer kenne teilte der Anrufer mit, daß man seitens Microsoft über jeden Computerkauf informiert sei. Zu diesem Zeitpunkt war mir bereits klar, das es sich hier um einen s.g. Scamming Anruf handelt, da ich selbst in der IT Branche arbeite, mehrere Computersysteme besitze und der Kauf eines PC nicht an Microsoft gemeldet wird – auch nicht der Kauf einer Lizenz des Betriebssystems.
Da ich etwas Zeit hatte und auch interessiert war, wie der Betrug ablaufen sollte, habe ich das Telefongespräch jedoch weitergeführt (Gesamtzeit 22 min). Aufgrund der gebrochenen Aussprache habe ich dem Anrufer angeboten die weitere Kommunikation in englischer Sprache fortzusetzen.
Als erstes fragte ich, wie er den beweisen könne, das er wirklich ein Mitarbeiter von Microsoft sei? Daraufhin bat er mich einige Kommandos auf dem Computer auszuführen:
<windows Taste> R
Eingabe cmd
Eingabe assoc
In dem folgenden Fenster bat er mich den Text am Schluss mit der s.g. CLSID 888DCA60-FC0A-11CF-8F0F-00C04FD7D062 zu merken, und er würde mir diese ID vorlesen – nur Microsoft hätte diese ID meines Rechners. Mein Hinweis, daß diese ID bei allen Microsoftsystemen schon seit Jahren identisch ist wurde von ihm mit dem Hinweis ignoriert, das er nachweisen könne, das mein Rechner gehackt worden sei indem ich das Kommando
Eventmgr
*Bitte eingeben solle. (Dieser Befehl startet den s.g. eventviewer – ein Monitoringtool in Windows –*es zeigt immer Fehler aus der Vergangenheit an). Ich solle ihm doch bitte den ersten Fehler vorlesen.
Anmerkung: Der Anrufer hatte eindeutig eine Übersetzungstabelle der englischsprachigen Windows Menüführung in die deutsche Menüführung vor sich liegen, da er die „Ereignisanzeige“ (Event Viewer) sehr deutlich, langsam vorlesen musste – incl. der folgenden Anzeige „Benutzerdefinierte Ansichten“
Der 1. Fehler war ein Lesefehler auf der Festplatte (ein durchaus normaler Fehler welcher bei der letzten Festplattenüberprüfung gefunden wurde). Er meinte aber, daß dies ein eindeutiger Hinweis darauf wäre, daß mein Computer gehackt wurde. Mein Einwand, daß dieser Fehler ganz normal sei wurde erneut ignoriert, aber jetzt wurde das Thema gewechselt und der Anrufer teilte mit er würde das Gespräch an seinen „supervisor“ weiterleiten. Dieser wäre in der Lage mir nachzuweisen das er wirklich von Microsoft sei.
Verdächtig schnell (nach wenigen Sekunden), meldete sich der „supervisor“ mit dem Hinweis, das er nachweisen könne von Microsoft zu sein – und ob ich denn einen Teamviewer installiert hätte (bei Teamviewer handelt es sich um eine Software zum Remotezugriff auf Computersysteme welche im Servicefall verwendet wird). Da ich generell keine Software zum Remote Access auf meinem Computer installiert habe teilte ich dies mit – zusammen mit der Bitte, er möge mir doch bitte seine Microsoft Mitarbeiter-ID nennen. Da ich einen Servicevertrag mit Microsoft hätte, könnte ich die Mitarbeiter ID von Microsoft bestätigen lassen. Zu diesem Zeitpunkt merkte ich schon, daß der „supervisor“ leicht genervt war – er nannte mir trotzdem eine ID: MSC082C602.
Ich teilte ihm mit, daß ich die ID überprüfen lassen würde – und er sich Montag nachmittag gerne wieder melden könne. Darauf kam der Hinweis, daß man aber dann bis dahin meinen Computer leider sperren müsse – und ich nicht mehr weiterarbeiten könnte. Darauf teilte ich mit, daß dies ok wäre und beendete das Gespräch.
Selbstverständlich wurde mein Computer nicht gesperrt ....
P.S: Es ist mir klar, das die Anzeige bei der Polizei wenig bewirken wird - ausser das nicht noch andere auf die Masche reinfallen und dies publik gemacht wird